looser27
Goto Top

Passwortwechsel in der Domain bei Anmeldung erzwingen

Nachdem es immer wieder User geschafft haben, sich während des laufenden Betriebes auszusperren, habe ich nach einer Möglichkeit gesucht, die User bereits bei der Anmeldung zum Passwortwechsel zu zwingen, sollte die Passwortlaufzeit 1 Tag unterschreiten.

Das PowerShell-Skript hierzu sieht so aus:
Import-Module ActiveDirectory 
$maxSpan = (Get-ADDefaultDomainPasswordPolicy).MaxPasswordAge 
$today = get-date 
 
get-aduser -Filter {Enabled -eq $True -and PasswordNeverExpires -eq $False} -Properties PasswordLastSet,GivenName,Surname,samaccountname -SearchBase “DC=mydomain,DC=intern” -SearchScope Subtree | ?{$_.PasswordLastset -is [datetime]} | %{$diff = (($_.PasswordLastSet + $maxSpan)-$today).Days 
    if($diff -lt 1)
	{ 
    	Set-ADUser -identity:($_.samaccountname) -ChangePasswordAtLogon:$True
    	} 
}

Das Skript ist aus vielen Fragmenten einzelner entstanden, welche aber alleine genommen nie das gewünschte Ergebnis gebracht haben.

Individuell angepasst werden müssen die Parameter "DC=mydomain,DC=intern” und "$diff -lt 1".

Durch ändern der Zeile

Set-ADUser -identity:($_.Surname) -whatif -ChangePasswordAtLogon:$True

kann das Skript gefahrlos getestet werden, denn es werden nur die zu ändernden AD-User angezeigt.

Das Skript läßt man nun täglich über die Aufgabenplanung auf einem Domain-Controller laufen.

Quellen (ohne Anspruch auf Vollständigkeit):
User per Email über den baldigen Passwortablauf erinnern
https://www.fachinformatiker.de/topic/154951-problem-powershell-benutzer ...
https://www.windowspro.de/script/vergleichsoperatoren-powershell-eq-lt-g ...
https://www.it-visions.de/scripting/PowerShell/Commandlets.aspx?Set-ADUs ...

Edit:
Abfrage "Surname" auf "SAMAccountname geändert, um Probleme bei gleichen Nachnamen im selben Abfagezeitraum zu umgehen.

Content-Key: 390359

Url: https://administrator.de/contentid/390359

Printed on: April 16, 2024 at 16:04 o'clock

Mitglied: 137443
137443 Oct 23, 2018 updated at 17:54:01 (UTC)
Goto Top
ohne Anspruch auf Vollständigkeit
Richtig, da fehlt nämlich noch so einiges face-wink, unter anderem wie z.B. das Überprüfen auf User mit PSOs, die haben dann nämlich andere Ablaufpolicies.

Für eine Anleitung also noch ziemlich dürftig.
Gruß L.
Member: Looser27
Looser27 Oct 23, 2018 at 17:55:56 (UTC)
Goto Top
Dann mach es besser.....
Mitglied: 137443
137443 Oct 23, 2018 updated at 18:01:29 (UTC)
Goto Top
Hab isch scho, lang ist's schon her die einfachen Aufgaben face-wink, die Freude am Debuggen will ich dir ja nicht nehmen face-smile, davon lernst du schließlich.
Member: Looser27
Looser27 Oct 23, 2018 at 18:01:04 (UTC)
Goto Top
Jaja.....dumm labern, aber den Beweis schuldig bleiben. Is schon Freitag?
Mitglied: 137443
137443 Oct 23, 2018 updated at 18:03:42 (UTC)
Goto Top
Jaja.....dumm labern
Sprach der Jüngling und biss ins Gras.
Kann ich dir gerne geben sobald ich aus dem Urlaub zurück bin.
Is schon Freitag?
Bei dir vielleicht. B-)
Member: lcer00
lcer00 Oct 23, 2018 updated at 20:59:47 (UTC)
Goto Top
Jungs, entspannt Euch.

@Looser27 Das Forum hat leider keine Funktion um Anleitungen mit weniger als 5 Seiten automatisch in „Tipp“ zu verschieben. Dafür hat es eine Humanoide-Kritik-Funktion, die alle Anleitungen dieses Umfangs entsprechend kommentiert.

Ich wette, wenn Du das als Tipp gebracht hättest, würde der Kommentar anders ausgefallen sein.

Grüße, auch an den Kommentarbot,

lcer